Anthos Service Mesh e Traffic Director sono ora Cloud Service Mesh. Per saperne di più, consulta la panoramica di Cloud Service Mesh.

Questa pagina è stata tradotta dall'API Cloud Translation.

Opzioni per la configurazione delle VM di Compute Engine con deployment di Envoy automatico

Questa guida fornisce informazioni su opzioni e attività aggiuntive per il deployment automatizzato di Envoy.

Ulteriori opzioni per la creazione di modelli di istanze

Quando crei un modello di istanza per il deployment automatico del proxy Envoy, puoi utilizzare i seguenti parametri per definire alcuni aspetti del deployment e il comportamento dei proxy.

Parametro	Valore e descrizione	Obbligatorio o facoltativo
`--service-proxy`	`enabled` Controlla se il proxy e l'agente di servizio sono installati e configurati sulla VM.	Obbligatorio se vuoi eseguire il deployment e configurare automaticamente il proxy di servizio. Se ometti questa impostazione, il proxy del servizio non viene installato o configurato.
`--service-proxy:serving-ports`	Un elenco di porte separate da punto e virgola. Le porte su cui viene eseguita l'applicazione/il carico di lavoro. Il proxy del servizio intercetta il traffico in entrata e lo inoltra alle porte di servizio specificate su localhost.	(Facoltativo) Se ometti questo flag, il proxy di servizio gestisce solo il traffico in uscita dal tuo carico di lavoro. Il traffico in entrata non viene gestito dal proxy del servizio.
`--service-proxy:proxy-port`	Una singola porta. La porta su cui il proxy del servizio è in ascolto. La VM intercetta il traffico e lo reindirizza a questa porta per la gestione da parte del proxy del servizio.	Facoltativo. Se ometti questo flag, il valore predefinito è `15001`
`--service-proxy:network`	Il nome di una rete VPC valida. La rete VPC di Google Cloud utilizzata dal piano di controllo del proxy di servizio per generare la configurazione dinamica del proxy di servizio.	Obbligatorio se la VM si trova su più di una rete; altrimenti, è facoltativo. Se ometti questo flag, viene utilizzato il valore specificato utilizzando il parametro `--network` durante la creazione del modello di istanza VM.
`--service-proxy:tracing`	`ON` o `OFF` Consente al proxy di servizio di generare informazioni sul monitoraggio distribuito. Se impostato su `ON`, il piano di controllo del proxy di servizio genera una configurazione che abilita il monitoraggio basato sull'ID richiesta. Per ulteriori informazioni, consulta la documentazione `generate_request_id` del proxy Envoy.	Facoltativo. Se ometti questo flag, il monitoraggio non viene attivato.
`--service-proxy:access-log`	Il percorso del file per i log di accesso inviati al proxy di servizio dal control plane. Tutte le richieste in entrata e in uscita vengono registrate in questo file. Per ulteriori informazioni, consulta la documentazione del log di accesso ai file per il proxy Envoy.	Facoltativo. Non è presente alcun valore predefinito. Se non specifichi il percorso del file, i log non vengono creati.
`--service-proxy:intercept-all-outbound-traffic` (anteprima)	Consente l'intercettazione di tutto il traffico in uscita da parte del proxy del servizio e il successivo reindirizzamento a un host esterno. Utilizza `gcloud beta` con questa opzione.	Facoltativo.
`--service-proxy:exclude-outbound-ip-ranges` (anteprima)	Un elenco separato da punto e virgola (;) degli indirizzi IP o degli intervalli CIDR, specificati tra virgolette ("), da escludere dal reindirizzamento. Si applica solo quando è impostato il flag `intercept-all-outbound-traffic`. Utilizza `gcloud beta` con questa opzione. Ad esempio: `exclude-outbound-ip-ranges="8.8.8.8;129.168.10.0/24"`	Facoltativo.
`--service-proxy:exclude-outbound-port-ranges` (anteprima)	Un elenco separato da punto e virgola (;) delle porte o degli intervalli di porte, specificati tra virgolette ("), che devono essere esclusi dal reindirizzamento. Si applica solo quando è impostato il flag `intercept-all-outbound-traffic`. Utilizza `gcloud beta` con questa opzione. Ad esempio: `exclude-outbound-port-ranges="81;8080-8090"`	Facoltativo.
`--service-proxy:scope` (anteprima)	L'opzione `scope` definisce un confine di configurazione logico per la risorsa `Gateway`. Quando una VM si avvia, il proxy di servizio comunica con Cloud Service Mesh per recuperare le informazioni di routing corrispondenti alle route associate al gateway con questo nome di ambito. Quando viene specificato `scope`, il valore della rete viene ignorato. Non puoi specificare contemporaneamente i valori `scope` e `mesh`. Utilizza `gcloud beta` con questa opzione.	Facoltativo.
`--service-proxy:mesh` (anteprima)	L'opzione `mesh` definisce un confine di configurazione logico per una risorsa `Mesh`. Quando una VM si avvia, il proxy del servizio comunica con Cloud Service Mesh per recuperare le informazioni di routing corrispondenti alle route associate all'`Mesh` con questo nome del mesh. Quando viene specificato `mesh`, il valore della rete viene ignorato. Non puoi specificare contemporaneamente i valori `scope` e `mesh`. Utilizzare `gcloud beta` con questa opzione	Facoltativo.
`--service-proxy:project-number` (anteprima)	L'opzione `project-number` specifica il progetto in cui vengono create le risorse `Mesh` e `Gateway`. Se non specificato, viene utilizzato il progetto in cui esiste l'istanza. Questo vale solo per le nuove API di routing dei servizi.	Facoltativo.
`--service-proxy-labels`	Coppie chiave/valore nel formato `key=value`. Etichette che puoi applicare al proxy del servizio. Questi valori vengono riportati nei metadati di bootstrap del proxy Envoy. Le etichette possono essere qualsiasi coppia `key=value` che vuoi impostare come metadati proxy (ad esempio, per l'utilizzo con il filtro di configurazione. Potresti utilizzare questi flag per le etichette di applicazione e versione, ad esempio `app=review` o `version=canary`. Puoi anche utilizzarli insieme.	Facoltativo.

Ad esempio, il seguente comando gcloud crea un modello di istanza chiamato proxy-it. Le istanze create da questo modello hanno installato l'agente proxy Envoy e il proxy di servizio.

gcloud compute instance-templates create proxy-it \
    --service-proxy enabled

Nell'esempio seguente, il modello di istanza si chiama proxy-it, l'agente proxy di Envoy e il proxy di servizio sono installati, la porta di pubblicazione e la porta del proxy sono impostate, il monitoraggio è abilitato ed è definita un'etichetta.

gcloud compute instance-templates create proxy-it \
  --service-proxy enabled,serving-ports=8080,proxy-port=15001,tracing=ON \
  --service-proxy-labels version=canary

Il seguente diagramma illustra il flusso di traffico quando specifichi la porta di pubblicazione come 8080. Le connessioni TCP in entrata alla porta 8080 vengono intercettate da iptables e reindirizzate al proxy Envoy, che le passa all'applicazione sulla VM in ascolto sulla porta TCP 8080. Inoltre:

Tutte le connessioni in uscita ai VIP dei servizi configurati in Cloud Service Mesh vengono intercettate da iptables, che configura netfilter. Netfilter garantisce che il traffico corrispondente che attraversa lo stack di rete venga intercettato e reindirizzato al proxy Envoy. Il traffico viene quindi bilanciato in base alla configurazione di Cloud Service Mesh.
Tutte le altre connessioni in entrata non vengono intercettate da iptables e vengono passate direttamente ai servizi sulla VM.
Tutte le connessioni agli endpoint esterni vengono passate direttamente agli indirizzi IP esterni senza essere intercettate.
Tutto il traffico UDP viene passato direttamente alla destinazione senza essere intercettato da iptables.

Questo è illustrato nel seguente diagramma.

Distribuzione del traffico con Cloud Service Mesh (fai clic per ingrandire)

I flussi di traffico nel diagramma sono i seguenti:

Traffico in entrata con porta di destinazione 80, non intercettato e instradato direttamente al servizio in ascolto sulla porta.
Traffico in entrata con porta di destinazione 8080, intercettato e reindirizzato alla porta di ascolto di Envoy.
Envoy inoltra il traffico da (2) al servizio 2 in ascolto sulla porta localhost8080.
Traffico in uscita destinato al VIP e alla porta regola di forwarding di Cloud Service Mesh, intercettato e reindirizzato alla porta di ascolto di Envoy.
Envoy inoltra il traffico da (4) all'endpoint del backend del servizio di backend Cloud Service Mesh di destinazione.
Traffico in uscita destinato a porta e VIP non Cloud Service Mesh, non intercettato e instradato direttamente al servizio esterno.

Utilizzare le etichette

Se vuoi specificare le etichette da utilizzare con il filtro dei metadati di Cloud Service Mesh o attivare il logging degli accessi per i proxy Envoy, utilizza i parametri --service-proxy-labels o --service-proxy access-log.

Ad esempio:

gcloud compute instance-templates create td-vm-template-auto \
   --service-proxy enabled,access-log=/var/log/envoy/access.log,network=default \
   --service-proxy-labels myapp=review,version=canary

Il proxy Envoy può intercettare le porte di controllo di integrità per i servizi sulle VM. Se lo fai, i probe del controllo di integrità generano report sulla tua applicazione e sui proxy Envoy. Il traffico non viene indirizzato alla VM se il proxy Envoy non è in esecuzione correttamente. Ad esempio:

gcloud compute instance-templates create td-vm-template-auto \
  --service-proxy=enabled,serving-ports="80;8080"

Utilizzo della procedura di aggiornamento del gruppo di istanze gestite

Se hai utilizzato la procedura automatica per configurare i proxy Envoy, puoi utilizzare la procedura di aggiornamento del gruppo di istanze gestite per aggiornare il gruppo di istanze gestite. Utilizza questa procedura per:

Aggiungi i componenti del proxy del servizio a un gruppo di istanze gestite esistente e registralo in una rete Cloud Service Mesh.
Aggiorna i componenti del proxy del servizio sulle VM.

Prima di eseguire l'aggiornamento in sequenza, segui questi passaggi.

Imposta svuotamento connessione sul servizio di backend su un valore di almeno 30 secondi.
Utilizza il parametro --min-ready, impostato su un valore pari o superiore a 3 minuti, quando chiami l'aggiornamento. Il parametro --min-ready fa in modo che il gruppo di istanze gestite attenda dopo l'aggiornamento di una VM prima di procedere con l'aggiornamento della VM successiva. In caso contrario, la VM appena creata non ha tempo di avviare completamente Envoy e l'agente proxy del servizio e l'aggiornamento procede troppo rapidamente.

Per eseguire l'aggiornamento in sequenza nel gruppo di istanze gestite, segui questi passaggi.

Crea un nuovo modello di istanza, come descritto sopra, con le informazioni sul proxy del servizio. La versione originale del modello di istanza può essere utilizzata per l'aggiornamento se contiene le informazioni sul proxy del servizio e il tuo obiettivo è eseguire l'aggiornamento alla versione stabile più recente del software proxy.
Esegui un aggiornamento in sequenza del gruppo di istanze gestite. Assicurati di impostare REPLACE come azione minima che l'aggiornamento deve eseguire. Il gruppo di istanze installa la versione più recente del software proxy e lo configura come specificato nel modello di istanza.

Puoi anche rimuovere i componenti del proxy di servizio da un gruppo di istanze gestite utilizzando la procedura di aggiornamento:

Crea un nuovo modello di istanza senza specificare il flag --service-proxy.
Esegui un aggiornamento in sequenza utilizzando la procedura di aggiornamento del gruppo di istanze gestite.

Il proxy Envoy viene rimosso dalle VM. Se questo gruppo di istanze gestite era l'unico MIG collegato al servizio di backend, ti consigliamo di rimuovere la configurazione di Cloud Service Mesh che hai creato durante la configurazione di Cloud Service Mesh.